该项目的作者 ,它监视新节点组与匿名 Tor 网络的连接, 报告识别出试图操纵用户流量的恶意 Tor 出口节点的主要运营商。 根据以上统计,22月XNUMX日 连接到大量恶意节点的 Tor 网络,攻击者因此获得了流量控制权,覆盖了通过出口节点的所有请求的 23.95%。
在其活动高峰期,该恶意组织由约 380 个节点组成。 通过根据具有恶意活动的服务器上指定的联系电子邮件来链接节点,研究人员能够识别出至少 9 个不同的恶意退出节点集群,这些节点已经活跃了大约 7 个月。 Tor 开发人员试图阻止恶意节点,但攻击者很快又恢复了活动。 目前,恶意节点数量有所减少,但仍有超过10%的流量经过它们。
从恶意出口节点上记录的活动中可以看出选择性删除重定向
当最初通过 HTTP 访问未加密的资源时,将其转换为 HTTPS 版本的站点,这允许攻击者在不替换 TLS 证书的情况下拦截会话内容(“ssl 剥离”攻击)。 此方法适用于键入站点地址而未在域前明确指定“https://”的用户,并且在打开页面后不关注 Tor 浏览器地址栏中的协议名称。 为了防止阻止重定向到 HTTPS,建议网站使用 .
为了难以识别恶意活动,有选择地在个别站点上进行替换,主要与加密货币相关。 如果在不受保护的流量中检测到比特币地址,则会对流量进行更改以替换比特币地址并将交易重定向到您的钱包。 恶意节点由托管普通 Tor 节点的热门提供商托管,例如 OVH、Frantech、ServerAstra 和 Trabia Network。
来源: opennet.ru